Datenschutzrechtliche Unterrichtung des Schwedischen Schulvereins Frankfurt e.V.
- an Stelle einer separaten Datenschutzerklärtung
- aktualisiert Juni/Juli 2024 mit der Umstellung von Google Forms auf Netxp-Verein – Änderungen erkennbar an “2024”
Die Datenschutzgrundverordnung verlangt eine datenschutzrechtliche Unterrichtung, bevor ein Verein personenbezogene Daten erhebt. Gemäß der Orientierungshilfe des Datenschutzbeauftragten Baden-Württembergs muss diese in schriftlicher Form jedem vom Verein verwendeten Formular vorangestellt werden. Nach unserem Verständnis der o.g. Orientierungshilfe sowie von diesem “Muster für Informationspflicht bei Erhebung von personenbezogenen Daten” müssen dabei folgende Angaben gemacht werden, die wir im folgenden, soweit es uns möglich erscheint, machen werden:
- Name & Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
- Verein: Schwedischer Schulverein Frankfurt am Main e.V.
- Eingetragen beim Amtsgericht Frankfurt / Main, Vereinsregister Nr. 11890.
Louise Månsson
Barchfeldstraße 11
60435 Frankfurt am Main
ejlmansson@hotmail.de
- Stellvertretender Vorsitzender, kommissarisch:
Dr. Jochen Schütze
Am Erlenhain 2
64390 Erzhausen
jos@majs.de
Telefon: 0 61 50 - 99 17 83
- Kontaktdaten des Datenschutzbeauftragten.
- Da personenbezogene Daten im Verein von weniger als zehn Personen verarbeitet werden, wird ein Datenschutzbeauftragter nicht eingesetzt.
- Mitgliederverwaltung - Eindeutige Identifikation der Vereinsmitglieder (Name, Geburtsdatum / Personennummer / Adresse; Rechtsgrundlage: Art. 6 Abs. lit. b) DS-GVO)
- Bis Juni 2024: Die Erhebung und Erfassung der Daten direkt von den Mitgliedern geschieht über ein digitales Formular, das als “Google form” implementiert wurde. Dadurch werden die Daten auf Computern der Firma Google LLC verarbeitet, die sich außerhalb Europas befinden können!
- Ab Juli 2024: Die Erhebung, Erfassung und Verarbeitung der Daten direkt von den Mitgliedern geschieht über die Vereins-Verwaltungs-Software “Netxp-Verein” der Firma Netxp GmbH, Eggenfelden, https://www.netxp-verein.de/. Links zu deren Impressum und Datenschutzerklärung finden sich am Ende der digitalen Formulare.
- Abhalten des Unterrichts (Name, Klassenstufe in der allgemeinbildenden Schule, Geburtsdatum → Alter → Einteilung in Klassen / Altersgruppen; Rechtsgrundlage: Art. 6 Abs. lit. b) DS-GVO)
- Die Schüler werden primär nach Alter und Klassenstufe in der allgemeinbildenden Schule in die -- nach dem Alter der Schüler aufgeteilten -- Unterrichtsgruppen eingeordnet; in Einzel- und Zweifelsfällen wird hierbei zusätzlich der individuelle Leistungsstand (beurteilt nach dem subjektiven Eindruck der Lehrkräfte) herangezogen.
- Schnelle Information der Erziehungsberechtigten in außergewöhnlichen Situationen (z.B. Verletzung oder Erkrankung von Schülern im Unterricht: Namen und Telefonnummern; Rechtsgrundlage: Art. 6 Abs. lit. b) DS-GVO).
- Für diesen Zweck müssen von den Lehrkräften mindestens Namen von Schülern und Erziehungsberechtigten sowie deren Telefonnummern erhoben werden. Dies geschieht gewöhnlich über eine einfache, offene Liste auf Papier in die Eltern die erforderlichen Angaben eintragen. Dabei können sie prinzipiell vorher gemachte Eintragungen in derselben Liste einsehen.
- Information der Mitglieder über alles, was sie wissen müssen, damit der Verein erfolgreich seinen satzungsgemäßen Zweck zum Vorteil der Kinder der Mitglieder verfolgen kann (Namen, E-mail-Adressen und Zuordnung zu den Unterrichtsgruppen; Rechtsgrundlage: Art. 6 Abs. lit. b) DS-GVO).
- Dies geschieht gewöhnlich per unverschlüsselter E-mail, die z.B. über Google Mail und Domain-Dienste der Firma Alfahosting GmbH, Halle (Saale), https://alfahosting.de/, verschickt werden. Normalerweise werden alle Empfängeradressen als “Bcc:”-Adressen eingesetzt und bleiben den Empfängern verborgen; es ist aber nicht auszuschließen, dass, vor allem wenn Informationen nur an die Eltern einer einzelnen Schülergruppe geschickt werden, alle dafür verwendeten E-mail-Adressen allen Empfängern bekannt werden.
- Beantragung finanzieller Fördermittel von der Schwedischen Schulverwaltung (Skolverket; Rechtsgrundlage: Art. 6 Abs. lit. b) DS-GVO): Der Behörde werden von jedem Schüler mitgeteilt:
- Name
- Geburtsdatum
- Geschlecht
- Klassenstufe
- Staatsangehörigkeit
- Name des / der angegebenen Erziehungsberechtigten
- Ja/Nein-Angabe, ob die/der Erziehungsberechtigte schwedische/r Staatsbürger/in ist.
- Teilnahme an Aktivitäten des Weltverbands schwedischer Auslandsschulen (SUF).
- Die schwedischen Auslandsschulen veranstalten jährlich zeitgleich Leichtathletikwettkämpfe und führen die sportlichen Leistungsdaten ihrer Schüler zusammen um weltbeste schwedische Auslandsschüler nebst 2. und 3. Platz je Disziplin und Altersklasse zu küren.
- Dafür werden Namen, Alter oder Geburtsdatum und die erfassten sportlichen Leistungen aller teilnehmenden Schüler an alle teilnehmenden schwedischen Auslandsschulen verteilt.
(Rechtsgrundlage: Art. 6 Abs. lit. a) und f) DS-GVO.)
- Verwendung von interaktiven Internetangeboten im Unterricht und für Hausaufgaben.
- Manche Lehrkräfte registrieren ihre Schüler/innen mit Namen und Alter oder Geburtsdatum bei Internetdiensten, bei denen die Schüler/innen sich dann mit Anwendername und Passwort persönlich anmelden und interaktiv Aufgaben bearbeiten, die Bestandteil der Ausbildung sind.
- Von Lehrkräften wird, wenn sie für die Auszahlung des Honorars eine Rechnung an den Verein stellen, zusätzlich zu Namen und Postadresse auch eine Bankverbindung und die aktuelle Steuernummer erhoben, um ggf. Auskunftsanfragen des zuständigen Finanzamts beantworten zu können.
(Rechtsgrundlage: Art. 6 Abs. lit. a) DS-GVO. Außerdem werden für die Verständigung zwischen Vorstand und Lehrkräften natürlich auch deren E-mail-Adressen erhoben und verarbeitet.)
- Rechtsgrundlage der Verarbeitung
- Vereine erheben und verarbeiten Mitgliedsdaten, die sie für die Verfolgung ihres satzungsgemäßen Zwecks benötigen, in der für die Verfolgung des satzungsgemäßen Zwecks erforderlichen Art und Weise. Hierfür ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DS-GVO.
- Weitere Daten können auf Grund ausdrücklicher Einwilligung der betroffenen Person erhoben und verarbeitet werden. Diese ausdrückliche Einwilligung wird im elektronischen Formular abgefragt, das zur Erhebung der personenbezogenen Daten verwendet wird. Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. a) DS-GVO.
- berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO
- Es liegt im berechtigten Interesse des Vereins, die o.g. erforderlichen Daten an die schwedische Schulverwaltung (“Skolverket”) weiterzuleiten, um die von dieser ausgelobte finanzielle Unterstützung der Arbeit des Vereins zu erhalten.
- Weiterhin werden auch die o.g. Zwecke…
- “Teilnahme an Aktivitäten des Weltverbands schwedischer Auslandsschulen (SUF)” und
- “Verwendung von interaktiven Internetangeboten im Unterricht und für Hausaufgaben”
...als berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO angesehen.
- Empfänger der Daten / Kategorien von Empfängern
- Innerhalb des Vereins haben die vier Vorstandsmitglieder Zugang zu allen erhobenen und verarbeiteten personenbezogenen Daten. Die Lehrkräfte erhalten die relevanten Daten ihrer jeweiligen Schülerinnen und Schüler (Name, Geburtsdatum) und ihrer Eltern (Name, Telefonnummern, E-mail-Adressen).
- Einzelne Angaben werden, wie oben bereits genauer beschrieben, an folgende Stellen weitergeleitet:
- Schwedische Schulverwaltung (Skolverket)
- Weltverband schwedischer Auslandsschulen (SUF)
- Andere schwedische Auslandsschulen (weltweiter Sportwettbewerb)
- Ausgesuchte Anbieter interaktiver Lehr- und Lernangebote im Internet.
- Anderweitig werden personenbezogene Daten vom Verein nicht weitergegeben.
- Absicht über "Drittlandtransfer" (z.B. bei Verarbeitung in der "Cloud")
- Die Erhebung aller personenbezogener Daten der Mitglieder und ihrer zum Unterricht angemeldeten Kinder geschah bis Juni 2024 über Dienste (“Google Apps”) der Firma Google LLC; die Daten konnten dabei auch außerhalb Europas verarbeitet werden.
- Die Cloud-Dokumente (Tabellen) wurden nur von einer Person (Vorstandsmitglied) als gänzlich nichtöffentliche, persönliche Dateien geführt. Eine Weiterleitung an andere Vorstandsmitglieder und (in Auszügen) an die Lehrkräfte geschieht in passwortgeschützten Dateien, die als E-mail-Anhänge über diverse E-mail-Dienste (z.B. Google Mail, 1&1, T-Online,...) verschickt werden.
- Ab Juli 2024 werden alle personenbezogenen Daten mit der Softwarelösung “Netxp-Verein” der Firma Netxp GmbH, Eggenfelden, https://www.netxp-verein.de/ erhoben, erfasst und verarbeitet; Grundlage ist ein Auftragsverarbeitungsvertrag gemäß Art 28 DSGVO. Dieser nennt als Subunternehmer die Firmen Microsoft in Westeuropa und 1&1 Internet SE, Montabaur, Deutschland.
- Der Zugang zu den personenbezogenen Daten, entweder direkt in der Software “Netxp-Verein” oder durch Weiterleitung in Form verschlüsselter Excel-Dateien per E-mail (und getrennte Übertragung des Passwortes auf einem anderen, verschlüsselten Weg) bleibt auf die Mitglieder des geschäftsführenden Vorstands (Vorsitzende, Kassierer, Schriftführer) beschränkt; Lehrer/innen erhalten die personenbezogenen Daten ihrer Schüler/innen zzgl. E-mail-Adresse und Mobiltelefonnummer der Eltern zur Kontaktaufnahme.
- Speicherdauer der personenbezogenen Daten
- Die von Mitgliedern erhobenen personenbezogene Daten über ihre zum Unterricht angemeldeten Kinder, wie sie weiter oben in dieser datenschutzrechtlichen Unterrichtung erwähnt werden, werden jeweils zwei Jahre nach Ende des betreffenden Schuljahres gelöscht. Bis dahin werden die Daten aufgehoben, um bei Bedarf die Wiederaufnahme eines bereits unterrichteten Kindes zu erleichtern.
- Die von Mitgliedern erhobenen eigenen personenbezogenen Daten einschließlich gezahlter Beiträge und Unterrichtsgebühren werden zehn Jahre aufbewahrt, um jegliche Auskunftspflichten z.B. dem Finanzamt oder schwedischen Behörden gegenüber erfüllen zu können.
- Gleiches gilt für die personenbezogenen Daten der Lehrkräfte (Name, Adresse, Telefon, E-mail, Bankverbindung, Steuernummer, geleistete Zahlungen).
- Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung)
- Jedem Vereinsmitglied steht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) oder ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) zu.
- Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
- Jedes Vereinsmitglied hat das Recht, seine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde.
- Jedem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu.